宽带接入在主楼的中心机房,我们将中心机房设为中心接入点,通过中心接入点将宽带连接到各住宅的楼顶AP。由于1个AP最高传输数率为11Mbps，所以主楼用1个AP不能满足用户的上网要求。根据实际需要，设计如下：主楼有6个AP共享100Mbps的带宽，8幢中的6幢住宅楼顶各用1个AP。为了确保用户的通信质量，主楼与住宅楼均采用24dBi的网状定向天线。AP均放在楼顶。

　　3.6住宅楼的无线网络设计

　　路由器ip宽带控制8个住宅楼的网络结构是一样的，只是建筑面积有点差别。为了扩大覆盖面，住宅楼间的AP均采用全向天线，根据实际要求可在5dBi—10dBi范围内选择。每幢住宅楼间的AP通过1个4口的HUB与各自楼顶的AP连接。

　　3.7网络的配置

　　小区使用的是商业DSL服务，它将为用户提供一套固定的IP地址。并且有路由器和防火墙提供一些安全功能，当无线用户连到网络时，需要网络地址转换和DHCP服务对之进行配置。

　　配置过程中，还需要配置网络地址转换、网关地址、子网以及DNS服务器等信息。以下是配置方案：

　　ISP提供的IP地址为60.166.44.165(然后这个地址作为客户端及其他设备连到它的网关地址);

　　ISP提供的网关地址是60.166.44.1(需服务商预先设置);

　　ISP将DNS地址分配为202.102.192.68和202.102.199.68;

　　下面可以配置WLAN访问点：

　　将无线局域网WLAN访问点的WAN网关地址设为60.166.44.165;

　　将无线局域网WLAN访问点的WANIP地址设为60.166.44.165;

　　该地址也是唯一地确定所有到Internet的WLAN访问点，在需要的时候可以追踪通信量;

　　将无线局域网WLAN访问点的DNS设置为202.102.192.68和202.102.199.68;

　　配置WLAN访问点的路由器的LAN地址为10.10.1.1;

　　配置WLAN访问点的路由器的LAN地址为255.255.0.0;

　　配置WLAN访问点的路由器以提供NAT，并让它作为一个DHCP地址;

　　配置WLAN访问点的路由器以发布足够的DHCP地址—根据小区的实际情况，需要同时满足640个人的上网需求。那么至少就需要640个DHCP地址;

　　将WLAN访问点的服务标识符SSID设为小区用户认可的名字;

　　使用WEP加密密码，对非法用户作一些;

　　4、无线网络的安全防护和

　　4.1无线网络的安全性

　　由于无线局域网采用公共的电磁波作为载体，更容易受到非法用户入侵和数据。无线局域网必须考虑的安全因素有三个：信息保密、身份验证和访问控制。为了保障无线局域网的安全，主要有以下几种技术,并作简要介绍：

　　(1)物理地址(MAC)过滤

　　每个无线工作站的无线网卡都有唯一的物理地址，类似以太网物理地址。可以在AP中建立允许访问的MAC地址列表，如果AP数量太多，还可以实现所有AP统一的无线网卡MAC地址列表，现在的AP也支持无线网卡MAC地址的集中Radius认证。这种方法要求MAC地址列表必需随时更新，可扩展性差。

　　(2)服务集标识符(SSID)匹配

　　对AP设置不同的SSID，无线工作站必须出示正确的SSID才能访问AP，这样就可以允许不同的用户群组接入，并区别对资源的访问。

　　(3)等效保密(WEP)

　　等效保密协议是由802.11标准定义的，用于在无线局域网中链路层数据。WEP使用40位钥匙，采用RSA开发的RC4对称加密算法，在链路层加密数据。WEP加密采用静态的保密密钥，各无线工作站使用相同的密钥访问无线网络。WEP也提供认证功能，当加密机制功能启用，客户端要尝试连接上AP时，AP会发出一个ChallengePacket给客户端，客户端再利用共享密钥将此值加密后送回存取点以进行认证比对，如果正确无误，才能获准存取网络的资源。40位WEP具有很好的互操作性，所有……

　　通过Wi-Fi组织认证的产品都可以实现WEP互操作。现在的WEP也一般支持128位的钥匙，能够提供更高等级的安全加密。

　　4.2WLAN的防护

　　在明白了一个毫无防护的WLAN所面临的种种问题后，应该在问题发生之前作一些相应的应对措施，下面就是介绍针对各种不同层次的入侵方式时采取的各种应对措施。

　　在一个无任何防护的无线LAN前，要想它的话，并不需要采取什么特别的手段，只要任何一台配置有无线网卡的机器就行了，能够在计算机上把无线网卡的人就是一个潜在的入侵者。

　　在许多情况下，有人无心地打开了他们装备有无线设备的计算机，并且恰好位于你的WLAN覆盖范围之内，这样他们的机器不是自动地连接到了你的AP，就是在“可用的”AP列表中看到了它。

　　其实，在平常的统计中，有相当一部分的未授权连接就是来自这样的情况，并不是别人要有意你的网络，而是有时无意中在好奇心的下的行为而已。

　　(1)更改默认设置

　　最基本，要更改默认的管理员密码，而且如果设备支持的话，最好把管理员的用户名也一同更改。对大多数无线网络设备来说，管理员的密码可能是通用的，因此，一般情况下更改这个密码，使其他用户无法获得整个网络的管理权限。

　　(2)更新AP的Firmware

　　有时，通过刷新最新版本的Firmware能够提高AP的安全性，新版本的Firmware常常修复了已知的安全漏洞，并在功能方面可能添加了一些新的安全措施。

　　(3)屏蔽SSID

　　许多AP允许用户屏蔽SSID，这样可防范netstumbler的扫描，不过这也将WindowsXP的用户使用其内建的无线Zero配置应用程序和其他的客户端应用程序。

　　(4)关闭机器或无线发射

　　关闭无线AP，一般用户来他们的无线网络所采用的最简单的方法了，在无需工作的整个晚上的时间内，可以使用一个简单的定时器来关闭我们的AP。不过，如果拥有的是无线路由器的话，那因特网连接也被切断了，这倒也不失为一个好的办法。在不能够关闭因特网连接的情况下，就不得不采用手动的方式来无线路由器的无线发射了(当然，也要求无线路由器支持这一功能)。

　　(5)MAC地址过滤

　　MAC地址过滤是通过预先在AP在写入的MAC地址列表，只有当客户机的MAC地址和MAC地址表中的地址匹配，AP才允许客户机与之通信，实现物理地址过滤。

　　(6)降低发射功率

　　虽然只有少数几种AP拥有这种功能，但降低发射功率仍可有助于有意或偶然的未经许可的连接。但现在无线网卡的灵敏度在不断提高，甚至这样的网卡随便都可购买得到，特别是在一幢大楼或宿舍中尝试一些不必要的连接时，这可能没什么实际意义了。